Android Malware BRATA stiehlt Bankdaten von unzähligen Nutzern

VonJörn Schmidt
Android Malware

Kürzlich berichteten Cybersecurity-Experten von Cleafy, dass die Zahl der Infektionen mit Android-Remote-Access-Trojanern (RAT) im letzten Jahr sprunghaft angestiegen sei. Diese gefährliche Malware-Kampagne verbreitete sich in einer Reihe von Ländern. Die Malware mit dem Namen BRATA wurde zuerst in Brasilien entdeckt. Nun ist sie aber auch in Italien aufgetaucht. Die Hacker nutzen diese Malware, um Bankdaten von Android-Nutzern zu stehlen.

Was diese Malware noch gefährlicher macht, ist, dass BRATA schwer zu erkennen ist.

BRATA funktioniert folgendermaßen. Zunächst erhalten die Nutzer eine SMS, die einen Link zu einer Website enthält. Die Nutzer denken, der Text käme von der Bank. Sobald die Nutzer auf den Link klicken, werden sie auf eine Website weitergeleitet, die ihnen vorschlägt, eine Anti-Spam-App herunterzuladen. Um das Ganze noch vertrauenswürdiger zu machen, heißt es außerdem, dass sich ein Bankmitarbeiter in Kürze mit ihnen in Verbindung setzen wird, um die Details der App zu besprechen.

Abgesehen davon sollt man auf der geöffneten Webseite die Felder mit den Bankdaten ausfüllen. Damit soll man beweisen, dass man ein Konto hat. Anschließend wird eine echte Person versuchen, einem zum Herunterladen der bösartigen App zu bewegen. Dazu werden verschiedene Social-Engineering-Techniken eingesetzt. Wer daran glaubt, wird die App installieren, mit der die Hacker dann das Telefon kontrollieren können.

Wie funktioniert die BRATA-Malware?

  • Zunächst fängt sie SMS-Nachrichten ab und leitet sie an einen C2-Server weiter. Die Hacker nutzen diese Technik, um die von der Bank per SMS gesendete 2FA während der Anmeldephase oder zur Bestätigung von Geldtransaktionen zu erhalten.
  • Zweitens nutzen sie verschiedene Bildschirmaufzeichnungs- und Casting-Funktionen, um alle auf dem Bildschirm angezeigten sensiblen Informationen zu sammeln. Dazu gehören beispielsweise Audiodaten, Passwörter, Zahlungsinformationen, Fotos und Nachrichten. Sie fragen sich vielleicht, wie das funktionieren soll, wenn der Benutzer nicht auf die Aufzeichnungstaste klickt. Aber über den Accessibility Service klickt die Malware selbst auf die Schaltfläche „Jetzt starten“. Sie wartet also nicht darauf, dass der Benutzer auf die Schaltfläche klickt.
  • Drittens führt sie eine Selbstzerstörung des Geräts durch, um die Entdeckung zu verhindern.
  • Er deinstalliert sogar Antimalware- oder Antiviren-Anwendungen.
  • Natürlich versteckt sie ihre Icon-App, um für den Benutzer nicht sichtbar zu sein.
  • Die BRATA-Malware deaktiviert Google Play Protect, um zu vermeiden, dass sie von Google als Malware eingestuft wird.
  • Sie gibt sich selbst mehr Privilegien, indem sie die Geräteeinstellungen ändert.
  • Noch interessanter ist, dass die Malware in der Lage ist, das Gerät zu entsperren, wenn eine geheime PIN oder ein geheimes Muster vorhanden ist.
  • Schließlich sendet sie die gesammelten Informationen an einen speziellen Server.

Quelle(n):
BGR

Links mit einem * sind Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Telegram, WhatsApp, Mastodon, Threads, Bluesky oder auf Facebook oder abonniere meinen RSS-Feed!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 8 Pro mit Android 14

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert